Começo por admitir que não leio regularmente o Oje e por isso não sei se entrevistas deste género (com "CEOs" seja de que empresa forem) são sempre assim, tão gritantes oportunidades para que estes vertam autêntica propaganda aos seus produtos e "soluções". Esta, assim por alto, foi o que me pareceu. Mas, pior (daí a necessidade de verter prosa sobre a dita), é a ideia subjacente à criação de novos lugares comuns na área da informática, simplesmente com o intuito de se diversificarem ofertas no mercado especializado e se aumentarem as vendas (tudo, em última instância, se resumindo a números), ao mesmo tempo que se procura demonstrar uma superioridade face aos demais parceiros de actividade.
A segurança (ou a sua viabilidade e garantia) sempre estiveram dependentes de critérios, no fundo básicos de bom senso. Refiro-me à segurança interna à empresa. Claro que na era em que se reaviva a noção de "Cloud" — outra manobra de marketing para algo que já existe há vários anos, mas nunca com este nome pomposa e enganadoramente simplório, numa revisitação a certa era da informática passada — se estão a colocar na proverbial mesa factores de carácter que pende mais para a tecnologia que para a face humana do seu uso (afinal, a razão última da sua existência). Regressemos à segurança. Ela depende de todos os intervenientes, implementadores e utilizadores finais. E aquilo que o entrevistado omite (o que percebo, porque o que ele quer é fazer "números" para o seu empregador) é que grande parte da segurança que a sua solução meramente tecnológica pretende oferecer ignora ostensivamente (para mim, pelo menos) que pessoas satisfeitas nunca são um factor de risco para a segurança interna da informação da empresa, nem para a sua eventual e indesejada fuga para o exterior.
A propósito dos "perigos" (sic) (note-se como só com este termo se lança a noção de que algo de biblicamente grave está em potencial germinação no interior de uma instituição) associados aos utilizadores internos, como se cada colaborador fosse um potencial terrorista, um dos exemplos usados pelo visado é o do "well meaning insider". Este, supostamente e de acordo com o pueril exemplo citado, poderia, sem ser mal intencionado, levar gravada numa pen drive informação confidencial da empresa para a trabalhar em sua casa mas que, posteriormente, emprestaria tal objecto a um seu filho, que por sua vez a levaria para escola, local onde a tal informação confidencial seria (só então??) colocada em risco. Para mim, este nunca será um "well meaning insider" mas sim um "perfeito idiota" que deveria ser despedido na primeira oportunidade.
Alguém de menos cerebral poderá, no seio de uma empresa, achar que esta cenário é plausível e, pior, ele vai acontecer(-lhe)! O que fazer então (pensa a luminária) para o impedir? Nada mais simples! Contacta-se uma empresa como a do entrevistado, que lhe apresentará uma solução que irá custar muitas centenas de milhares de dinheiro (para análise prévia + testes + compra do produto + a sua manutenção futura + horas de trabalho) para aplicar um mecanismo que impedirá (só rindo) que tal aconteça, de facto.
E é aqui que volto à noção, pelos vistos mais espúria e impensável, empresarialmente falando, das "pessoas satisfeitas". Não sou tão ingénuo que as considere mais infalíveis, ou menos confiáveis, só por isso, mas serei o único a achar que a empresa deveria ser responsável pela criação de (por exemplo) um bom ambiente de trabalho, bem organizado e responsavelmente dirigido e que apostasse na formação interna de molde a que todos os seus colaboradores tivessem a noção (e a consciência) dos prováveis perigos envolvidos no acesso e manipulação de informação, sensível ou não? O que seria, então, do "negócio" das empresas que vendem segurança (e também papões) no mercado? Uma revisão de estratégia de venda(s), certamente.
Repito que a satisfação (que impede ressabiados de se vingarem com aquilo que têm mais à mão) não é solução para tudo, mas continuo a acreditar (pena ser só eu) que as pessoas humanas são mais importantes e que é na aposta nestas que a verdadeira segurança começa. Tudo com ganhos para a empresa e a gestão da sua riqueza interna e orçamentos futuros. Só depois deveria vir a segurança de cariz tecnológico, a tal que também serve para avivar e recordar aos potenciais visados (os colaboradores) que a empresa os vê não como um "bem" mas como um "risco", causando neles a ideia de que não são confiáveis e que são olhados como meros borregos (ninguém o diz abertamente, mas pensa-o, a vários níveis da hierarquia...) a quem se paga uma esmola mensal.
P.S.: Alguém percebeu alguma coisa do que escrevo? Fará sentido?
Sem comentários:
Enviar um comentário